ISO/IEC 27001:2022 – Certification des systèmes de management de la sécurité de l’information

La durée d’obtention d’une certification ISO/IEC 27001 dépend de plusieurs facteurs, à savoir, par exemple, la taille et la complexité de l’entreprise, la compétence du personnel impliqué, la solution informatique ou le temps disponible pour la mise en place du système. En général, il faut compter entre six et douze mois pour élaborer les processus et documents applicables et se préparer à l’audit de certification. Ce dernier dure au moins une journée. Pour les grandes entreprises, l’audit peut prendre plusieurs jours.

Lorsque la certification initiale est réussie, l’entreprise reçoit un certificat valable pour une durée de trois ans. Un audit de suivi (plus court) annuel sera mené les deux années suivantes. Ce dernier vise à s’assurer du respect continu des exigences de la norme et de la poursuite du développement de l’entreprise. Avant l’échéance du certificat, un audit de recertification est réalisé, et le cycle reprend depuis le début.

Les coûts dépendent de divers facteurs, notamment de la taille et de la complexité de l’entreprise, du nombre de postes à plein temps ou du nombre de sites à certifier. Il convient de prendre en compte les coûts uniques ou courants pour le développement et l’exploitation du système, par exemple les frais de personnel interne, les formations du personnel, les honoraires de conseil, les frais liés aux licences pour un logiciel de management des processus. Il est recommandé d’établir au préalable une liste des frais à prévoir. Une certification ISO/IEC 27001 présente un intérêt stratégique pour l’entreprise et constitue un investissement pour son avenir.

La SQS est un organisme de certification agréé par le Service d’accréditation suisse (SAS). De ce fait, il nous est interdit de vous conseiller sur la mise en place d’un SMSI. La séparation entre prestations de conseil et certification est capitale pour notre indépendance et donc pour la crédibilité de nos certificats. Toutefois, nous proposons des formations pour la mise en place et le développement continu des systèmes de management, dispensées par nos auditrices et auditeurs chevronnés.

L’organisme de certification est responsable du bon déroulement de l’audit de certification conformément aux exigences réglementaires et de la vérification de l’organisation quant à la conformité aux exigences de l’ISO/IEC 27001. Il est important de choisir un organisme de certification par un organisme d’accréditation national, comme c’est le cas de la SQS. Ce n’est qu’ainsi que vous pouvez être certain que le certificat sera largement reconnu, même au niveau international.

Tous les certificats valides délivrés par la SQS peuvent être consultés sur notre site internet, dans le menu Organisations certifiées. Pour ce faire, il suffit de saisir le numéro d’enregistrement.

Oui, une organisation peut détenir plusieurs certifications en même temps pour les systèmes de management selon ISO 9001 (management de la qualité), ISO 14001 (management environnemental), ISO 45001 (santé et sécurité au travail), ISO/IEC 27001 (sécurité de l’information) et d’autres encore. Ces normes se complètent et permettent aux entreprises de disposer d’un système de management intégré prenant en compte les exigences des clients, des collaborateurs et des autres parties prenantes.

De plus amples informations sur les systèmes de management intégrés sont disponibles ici.

Lorsque les exigences de la norme ne sont pas respectées et que le/la responsable d’audit formule ce que l’on appelle des non-conformités mineures ou majeures, l’entreprise est tenue de les résoudre dans un délai imparti. Si l’entreprise n’est pas en mesure d’y parvenir, l’organisme de certification peut prononcer une suspension de six mois maximum, voire interrompre la procédure de certification. Ces cas de figure sont toutefois très rares.

L’organisation doit veiller à ce que l’ensemble du personnel comprenne les exigences de la norme et soit en mesure de les mettre en œuvre au quotidien. Des cours et programmes de formation contribuent notamment à sensibiliser le personnel à la norme et à ses avantages et, par conséquent, à exploiter le SMSI avec efficacité et efficience.

Le règlement général sur la protection des données (RGPD) de l’Union européenne s’applique également à un grand nombre d’organisations en Suisse. Un système de management de la sécurité de l’information (SMSI) conforme à la norme ISO/IEC 27001 aide à respecter les exigences du RGPD à plusieurs égards. Il implémente de solides mesures de sécurité visant à protéger les données personnelles contre les accès non autorisés et les pertes de données. Par ailleurs, un management structuré des risques permet d’identifier les risques potentiels liés au traitement des données et de les minimiser de manière systématique. Le SMSI veille au respect des exigences légales et réglementaires en surveillant et en améliorant les processus en continu. Il favorise en outre une documentation complète ainsi qu’un traitement des données transparent, une condition indispensable pour satisfaire aux exigences du RGPD.

L’ISO/IEC 27001:2022 comporte plusieurs modifications majeures par rapport à l’ISO/IEC 27001:2013. Les principaux changements portent sur la mise à jour des contrôles visés à l’annexe A, ce afin de rester en phase avec l’évolution de l’état de l’art technologique et du paysage des menaces, sur l’introduction de nouveaux contrôles pour la gestion des risques de sécurité du cloud et sur l’amélioration du processus de management des risques. En outre, des clarifications et des améliorations ont été apportées afin de faciliter l’implémentation et l’utilisation de la norme. Ces changements visent à rendre la sécurité de l’information plus efficace et plus en phase avec la situation actuelle. Afin d’adapter le SMSI conformément à la norme révisée, la phase de transition a été fixée à 36 mois.

Un SMSI conforme à la norme ISO/IEC 27001 est d’autant plus précieux pour les PME que, bien souvent, elles ne disposent pas des mêmes ressources informatiques que les grandes entreprises. Il propose une approche structurée de la sécurité de l’information, qui comprend des solutions à faibles coûts taillées sur mesure pour les PME. Cette norme aide à identifier et à minimiser de manière systématique et efficace les risques liés à la sécurité, et garantit de la sorte l’intégrité des données et la confidentialité. La mise en œuvre de directives de sécurité claires et d’audits réguliers permet de garantir le respect des exigences légales, de renforcer la confiance des clients et des partenaires, et d’améliorer l’efficacité opérationnelle de l’entreprise. Un SMSI permet aux PME d’atteindre un niveau de sécurité élevé, y compris en présence de ressources restreintes, et de se protéger contre les cybermenaces de nature diverse.

La norme ISO/IEC 27001 offre un cadre global qui permet d’intégrer également les exigences de sécurité dans les environnements cloud. La norme inclut des contrôles actualisés qui traitent les risques tels que les accès non autorisés, la perte de données et les violations de sécurité dans le cloud. Les organisations sont vivement invitées à développer et à mettre en œuvre des politiques et des protocoles de sécurité clairs qui répondent aux normes de sécurité les plus rigoureuses, y compris pour les services cloud.  Des audits réguliers aident à améliorer continuellement ces mesures et à les adapter aux nouvelles menaces. Ils garantissent la protection des données sensibles dans le cloud ainsi que la conformité aux standards de sécurité et aux exigences légales applicables.

Les normes ISO/IEC 27001 et ISO/IEC 42001 sont complémentaires et offrent une protection complète et un cadre éthique global pour les systèmes d’information et d’intelligence artificielle. En implémentant les deux normes, les entreprises ont l’assurance de disposer de systèmes d’IA non seulement sûrs, mais aussi éthiques et, ce faisant, responsables. Tandis que l’ISO/IEC 27001 porte sur la sécurité générale de l’information et la protection contre les cybermenaces, l’ISO/IEC 42001 est quant à elle dédiée aux défis spécifiques de l’IA tels que la transparence, l’équité et l’éthique. Cette combinaison renforce la confiance des clients et des partenaires et veille au respect des exigences légales et réglementaires avec, à la clé, une robustesse et une responsabilité accrues dans l’utilisation des technologies de l’information et de l’IA.